Fortigate

สำหรับ Manual นี้ จะเริ่มตั้งแต่การ Config Interface LAN ก่อนที่จะเริ่ม Config ตาม Manual นี้ให้ Config ขา WAN เพื่อให้ Fortigate สามารถออกอินเตอร์เน็ตได้ก่อนนะครับ

การ Config จะประกอบไปด้วย 6 หัวข้อหลักดังนี้

  1. การตั้งค่า Radius เป็นการตั้งค่า Fortigate ให้ Connect กับ Radius Server ของ Seara Cloud

  2. การตั้งค่า User Groups เป็นการตั้งค่าในส่วนของ User ซึ่งจะทำงานร่วมกับ Menu Package บน Seara Cloud ในการตั้งชื่อ User Group ชื่อจะต้องตรงกับชื่อ Package บน Seara Cloud ด้วย ถ้าหากมี Package มากกว่า 1 Package ก็ต้องสร้าง User Group ให้ครบตามจำนวน Package นะครับ

  3. การตั้งค่า Address เป็นการกำหนด Network ของขา LAN เพื่อที่จะนำ Network นี้ไปใช้ในการทำ Captive Portal Policy

  4. การตั้งค่า Interface สำหรับ Internal ( ขา LAN ) เป็นการตั้งค่า Interface ที่จะนำมาใช้สำหรับขา LAN ซึ่งจะรวไปถึงการ Config IP Address ของขา LAN DHCP Server Captive Portal

  5. การ Import SSL Certification เป็นการ Upload file certificate เข้าไปใน Fortigate

  6. การตั้งค่า Firewall Policy เป็นการตกำหนด Policy ต่างๆเพื่อให้ Client สามารถใช้งาน Internet โดยการ Authentication

  7. เพิ่ม Fortigate เข้าไปใน Seara เป็นการเพิ่ม NAS ID ของ Fortigate เข้าไปใน Seara ซึ่ง Login Page และ Radius จะ Call ผ่าน NAS ID ของ Fortigate

##### ในการ Config ควรจะเรียงลำดับตามหัวข้อด้านบนไปที่ละหัวข้อ #####

ตั้งค่า Radius

  1. เลือก Menu User & Authentication

  2. เลือก Menu RADIUS Server

  3. กด Create New

Name : ตั้งชื่อ Radius Server

Authentication method : เลือกเป็น Specify จากนั้นเลือก Authen type เป็น PAP

NAS IP : ใส่ IP Gateway ของขา LAN

Primary Server

IP/NAME : (IP Radius ดูจาก E-Mail ที่ได้รับ)

Secret : (secret ดูจาก E-Mail ที่ได้รับ)

จากนั้นกด Test Connectivity

สังเกตว่า Connection status จะต้องขึ้น Successful

กดที่ >_ Edit in CLI

พิมพ์คำสั่ง config user radius หากพิมพ์ถูกต้องจะขึ้นตามภาพนี้

พิมพ์คำสั่ง edit ตามด้วยชื่อ Radius ที่เราตั้งไว้ก่อนหน้านี้ ตั้วอย่างจะชื่อ Seara Auth หรือพิมพ์คำว่า edit แล้วกด shift+? แล้วจะแสดงชื่อ Radius profile ของเราขึ้นมา

การ Setting Connect To Radius Server Copy คำสั่งไปวางบน Terminal ของ Fortigate ได้เลยครับ

set server (IP Radius ดูจาก E-Mail ที่ได้รับ)
set secret (secret ดูจาก E-Mail ที่ได้รับ)
set nas-ip 172.16.10.1 (ใส่ ip Gateway ของขา LAN)
set acct-interim-interval 60
set radius-coa enable
set auth-type pap

การ Setting Radius Accounting Copy คำสั่งไปวางบน Terminal ของ Fortigate ได้เลยครับ

config accounting-server
edit 1
set status enable
set server (IP Radius ดูจาก E-Mail ที่ได้รับ)
set secret (secret ดูจาก E-Mail ที่ได้รับ)
set port 1813

ถ้าทำครบตามขั้นตอนแล้ว เมื่อพิมพ์คำสั่ง show ควรจะได้ผลตามภาพนี้

ตั้งค่า User Grops

  1. ไปที่ Menu User & Authentication

  2. User Groups

  3. กด Create New

  1. ตั้งชื่อ Group

  2. กด Add เพื่อเพิ่ม Radius Server ให้กับ User Group

  3. ตั้งค่าในส่วนของ Radius

Remote Server : เลือก Radius Server ที่เราสร้างก่อนหน้านี้

Groups : เลือกเป็น Specify แล้วตั้งชื่อ Package (ชื่อ Package จะต้องตรงกับ ชื่อ Package บน Seara Cloud)

หากบน Seara Cloud มี Package มากกว่า 1 Package ให้เพิ่ม User Group ขึ้นมาใหม่ให้ครบตามจำนวนของ Package และตั้งชื่อ User Group ให้ตรงกับชื่อ Package บน Seara Cloud ด้วย

การตั้งค่า Address

  1. เข้าไปที่ Menu Policy & Objects

  2. เลือก Menu Address

  3. กด Create New แล้วเลือก Address

Name : ตั้งชื่อให้กับ Address

Type : เลือก Type เป็น Subnet

IP/Netmask : ใส่ Network และ Subnetmask ของขา LAN

Interface : เลือก any

Create เพิ่มอีก 1 Address

Name : ตั้งชื่อให้กับ Address

Type : เลือก FQDN

FQDN : ใส่ Domain Name ของ Seara ที่ได้รับใน E-Mail ซึ่งในตัวอย่างจะเป็น demo.seara-portal.net

การตั้งค่า Interface สำหรับ Internal ( ขา LAN )

เลือก Interface สำหรับขา LAN ในตัวอย่างจะใช้ Interface ที่ชื่อ Internal 3

Config LAN Interface

Alias : ตั้งชื่อให้กับ Interface

Address : กำหนด IP address สำหรับขา LAN

Administrative Access : ตั้งค่าการเข้าถึง Interface ของขา LAN (ให้ตั้งค่าตามภาพเลยนะครับ)

ตั้งค่า DHCP Server

DHCP status : คลิ๊ก Enable

Address range : ตั้งค่าช่วงของ dhcp ที่ต้องการแจกให้กับ Client

Netmask : ตั้งค่า Subnetmask

DNS server 1 : ตั้งค่า primary dns

DNS server 2 : ตั้งค่า secondary DNS

Network

Security mode : เลือกเป็น Captive Poral

Authentication portal : เลือกเป็น External จากนั้นใส่ Domain Name ของ Seara ที่ได้รับจาก E-Mail แล้วตามด้วย path=/app/portal/login ในตัวอย่าง Domain ชื่อ https://demo.seara-portal.net จากนั้นเติม path เข้าไปก็จะเป็น https://demo.seara-portal.net/app/portal/login

User access : เลือกเป็น Restricted to Groups จากนั้นให้เพิ่ม Package ที่ได้สร้างไว้ก่อนหน้านั้นให้ครบ

Exempt destinations/services : เพิ่ม Address ที่เราได้สร้างไว้ให้ครบ

Redirect after Captive Portal : เลือกเป็น Specific URL จากนั้นใส่ Domain Name ของ Seara ของเรา ตามด้วย Path= /app/portal/welcome ตั้งอย่างจะเป็น https://demo.seara-portal.net/app/portal/welcome

หากตั้งค่าครบแล้วให้กด OK

Import SSL Certification

  1. ไปที่ Menu System

  2. เลือก Menu Certificates

  3. กด Import เลือก Local Certificate

  1. ไปที่ Menu PKCS#12 Certificate

  2. Certificate with key file

Upload file Certificate ของเราเข้าไป (Certificate file ต้องแปลงเป็นไฟล์นามสกุล .pfx ก่อนนะครับ)

จากนั้นกด OK เพื่อ Save

Password : ใส่ Password สำหรับ Certificate File

Certificate name : ต้องชื่อ Domain name

การตั้งค่า Firewall Policy

เป็นการตกำหนด Policy ต่างๆเพื่อให้ Client สามารถใช้งาน Internet โดยการ Authentication

  1. ไปที่ Menu Policy & Objects

  2. เลือก Menu Firewall Policy

  3. กด Create New

Name : ตั้งชื่อ Policy

Incoming Interface : เลือก Interface ขา LAN

Outgoing Interface : เลือก Interface ขา WAN

Source : เลือก Address ที่เราสร้างขึ้นมาก่อนหน้านี้

Destination : All

Acction : ACCEPT

Firewall / Network Options

NAT : Enable ให้เป็นสีเขียว

เพิ่ม SSL Certificate ใน Policy

SSL inspection : กด Create

Name : ตั้งชื่อให้กับ SSL

SSL Inspection Otions

Enable SSL Inspection of : เลือกเป็น Protecting SSL Server

Server certificate : เลือก certificate ที่เรา Upload เข้าไปก่อนหน้านี้

Protocol Port Mapping

HTTPS : 443

จากนั้นกด OK เพื่อ Save

SSL Inspection : เลือก Certificate ที่เราได้ตั้งชื่อไว้

จากนั้นกด OK เพื่อ Save Policy

เปิด CLI Console ของ Fortigate ขึ้นมา

พิมพ์คำสั่งตาม Code ด้านล่าง

  • ตรง set auth-cert ให้ใส่ชื่อ domain ที่เราตั้งไว้ตอน Import certificate file 

config user setting 

set auth-cert fortiseara.captive-portal.net 

end

พิมพ์คำสั่งตาม Code ด้านล่าง

  • ตรง set portal-addr ให้ใส่ชื่อ domain ที่เราตั้งไว้ตอน Import certificate file 

config firewall auth-portal 

set portal-addr fortiseara.captive-portal.net

end

Add Fortigate on Seara

  1. ไปที่ link Domain ของ Seara ที่ได้รับจาก Email ตัวอย่างเช่น https://demo.seara-portal.net

  2. Add Location : เข้าไปที่ Menu Site บน Seara แล้วเพิ่มสถานที่ วิธี Add Location

  3. Add Device : เข้าไปที่ Menu Site บน Seara แล้วกด เพิ่ม NAS จากนั้นทำตามขั้นตอนดังในภาพ

ปล. IP WAN จะต้องเป็น Public IP แบบ Static เท่านั้น

.............................. เสร็จสิ้นการ Config เบื้องต้น ..............................

PreviousProblem and SolutionNextTraffic Shaping

Last updated